mercoledì 29 marzo 2017

Intercettazioni delle comunicazioni: provvedimenti del Garante, legge delega, bavagli e fughe


Il 18 Luglio del 2013, il Garante per la protezione dei dati personali (comunemente noto come Garante della privacy) a seguito di una indagine conoscitiva presso alcune Procure della Repubblica di "medie dimensioni" (Bologna, Catanzaro, Perugia, Potenza e Venezia) per valutare, ai fini della tutela dei dati personali, il livello tecnico e gestionale in essere nell'attività di intercettazione delle comunicazioni (telefoniche, informatiche, telematiche ecc.) adottava un provvedimento - il doc. web n. 2551507 - destinato alle Procure della Repubblica, che riguarda sia i C.I.T. che le singole unità di P.G. in delocalizzazione. Per quanto attiene alla fase processuale, sembra (tuttora) che si ritengano ancora sufficienti le Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero pubblicate sulla Gazzetta Ufficiale n. 178 del 31 Luglio 2008 (vedi qui). Il Provvedimento in materia di misure di sicurezza nelle attività di intercettazione da parte delle Procure della Repubblica veniva emanato il 18 luglio 2013, pubblicato sulla Gazzetta Ufficiale n. 189 del 13 agosto 2013, con un termine per l'entrata in vigore fissato a diciotto mesi da tale data.
Sin troppo facile domandars cosa potesse accadere qualora il Ministero di Giustizia non avesse fornito le  risorse idonee a consentire a detti Uffici di apportare le modificazioni e integrazioni indicate nel presente provvedimento volte a rafforzare la sicurezza nel trattamento dei dati personali e dei sistemi nell'ambito delle attività di intercettazione come chiedeva il Garante: proroghe su proroghe, l'ultima col provvedimento del 26 Gennaio 2017 (lo trovate qui integrale con tutti i rinvii ai precedenti provvedimenti interlocutori), che proroga il termine per l'adozione sino al 31 Dicembre 2017, con riserva di rivalutare la situazione sulla base di quanto il Ministero rappresenterà entro il 20 settembre 2017 circa lo stato di attuazione degli interventi di adeguamento programmati.
Del provvedimento avevo scritto nel post del 25 Febbraio 2014, che qui in parte riprendo.  
Alcune criticità dell'attività di intercettazione sono ben note a chi viene chiamato a lavorare nei C.I.T. delle Procure o nei punti di ascolto in delocalizzazione presso le singole unità di P.G. ovvero successivamente, come perito trascrittore nella fase processuale.
Le misure indicate nel provvedimento del Garante sono in buona parte norme di buona tecnica informatica ed investigativa, e questo ha dato la stura a non poche malignità nei primi commenti: se da una parte è risaputo che il concetto di informatizzazione che hanno i legislatori e i governanti è ben meritevole di critica, si deve anche ricordare che una qualsiasi normativa deve indicare un complesso integrato e coerente, compresi gli atti più elementari; è quindi fuor di luogo domandarsi se i C.I.T. fossero accessibili senza una identificazione minima, username e password per capirsi. Semmai, si sarebbe dovuto domandare quanto robuste fossero le password implementate e quanto fosse posto in essere per impedirne l'uso promiscuo. Le misure riguardano, come detto, sia i Centri Intercettazioni Telecomunicazioni (C.I.T.) stabiliti presso ogni Procura della Repubblica sia gli Uffici di P.G. presso cui è delocalizzata l'attività di intercettazione.
Nei locali che ospitano i terminali per la ricezione, i server, gli archivi ed in ogni altro luogo deputato all'attività di intercettazione devono essere predisposti impianti di videosorveglianza a circuito chiuso e l'accesso deve essere consentito solo attraverso badge strettamente individuali ovvero attraverso identificazione biometrica; tutti gli accessi dovranno essere tracciati. Il personale di manutenzione non potrà in alcun modo accedere ai dati ultronei all'attività tecnica autorizzata direttamente dalle Procure. I protocolli di trasmissione dovranno essere interamente cifrati. Le postazioni di accesso dovranno tutte essere abilitate all'autenticazione degli operatori tramite "procedure rafforzate", e tutte le azioni dovranno essere annotate in registri non modificabili. Tutte le copie dovranno essere criptate ed eseguite se e solo se ritenute indispensabili; i contenitori degli archivi non debbono riportare informazioni intellegibili da estranei circa il contenuto; tutti i movimenti di supporti ionformatici o (sic est) cartacei dovranno avvenire solo ed esclusivamente tramite personale di P.G.
In caso di delocalizzazione degli ascolti, gli uffici di P.G. deputati debbono ottemperare alle stesse misure prescritte per i C.I.T. ed i collegamenti tra C.I.T. e i punti di ascolto remotizzati debbono essere realizzati con connessioni punto-punto o con collegamenti tipo VPN.

Il Garante, come già ricordato, ha più volte sollecitato il Ministero della Giustizia a fornire alle Procure della Repubblica risorse idonee per attuare quanto indicato nel provvedimento.
Nel contempo ... il 15 Marzo 2017, si votava al Senato, oltretutto con la fiducia, il maxiemendamento sulla delega al Governo per la tanto confusa quanto contestata riforma al processo penale; in questa viene inserita la delega alla "riforma" delle intercettazioni da presentare nel termine (incredibile, per gli standard della ditta) di tre mesi dall'entrata in vigore. 
Le motivazioni per una riforma delle intercettazioni sono - nelle pubbliche dichiarazioni, ovviamente - le stesse che ispirano il solido provvedimento del Garante qui citato e sommariamente descritto.
Perché, allora, non sbloccare finalmente le risorse necessarie per renderlo esecutivo, anziché rincorrere una legge che si presenta, come buona parte della produzione degli ultimi governi, portatrice più di problemi (gravi) che di soluzioni?
Al solito, hony soit qui ma y pense